OpenX es un gestor de publicidad de código abierto. Con OpenX, los usuarios pueden gestionar inventarios y campañas publicitarias para sitios webs sin realizar ningún desembolso. Antes era conocido como OpenAds aunque, tras una inversión de 15 millones a dólares se convirtió en OpenX, una versión mejorada de OpenAds que permitiría al gestor seguir creciendo.
Hace varios meses que la web principal de OpenX fue atacada por un grupo de piratas informáticos, pero se ha descubierto actualmente que la versión de servidor OpenX 2.8.10, disponible desde 2012, tiene una puerta trasera que permite a un atacante la ejecución remota de scripts en el servidor en el que se encuentre instalada OpenX.
Según cómo podemos leer en el blog de OpenX, esta vulnerabilidad no se encuentra disponible en todos los programas del equipo de OpenX. Únicamente afecta a los usuarios que descarguen y usen la versión gratuita de la aplicación principal, el resto de módulos está seguro.
El equipo de OpenX está investigando la puerta trasera, pero ya ha puesto a disposición de los usuarios una actualización que corrige dicho fallo, la versión 2.8.11 de OpenX. La opción más recomendable sería realizar una actualización completa a la misma versión, pero los usuarios también pueden realizar una actualización manual buscando los archivos que contienen etiquetas PHP y sustituyéndolos por los nuevos y actualizados que nos facilitan desde la web de Open X. Los desarrolladores afirman que no tardarán en aparecer exploits que faciliten la ejecución de código remoto en los servidores vulnerables, por lo que la prioridad de los administradores de sistemas debe ser actualizar el software vulnerable.
Desde Sucuri están analizando la puerta trasera para obtener la máxima información posible sobre ella y poder así evitar cometer el mismo error en un futuro o, simplemente, proteger su programa frente a este tipo de ataques para ofrecer una mejor seguridad a sus usuarios.
¿Eres usuario de OpenX? ¿Has actualizado ya el sistema?